MitsubishiElectricMELSEC可编程控制器超危漏洞实例分析

Mitsubishi Electric MELSEC可编程控制器超危漏洞实例分析，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

创新互联建站长期为近1000家客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为玉泉企业提供专业的成都网站建设、成都网站设计，玉泉网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。

美国网络安全和基础设施安全局（CISA）于6月23日发布安全公告，披露Mitsubishi Electric MELSEC中存在一个安全漏洞。MELSEC是日本Mitsubishi Electric公司生产的可编程控制器，MELSEC包括iQ-R、iQ-F、Q等多个系列，在世界范围内主要用于关键制造行业。

Mitsubishi Electric MELSEC中存在的漏洞是个信息泄露漏洞，该漏洞编号为CVE-2020-14476，CVSS v3评分为10.0。

根据美国CISA发布的公告内容，该漏洞源于Mitsubishi Electric MELSEC iQ-R，iQ-F，Q，L和FX系列CPU模块，和GX Works3/GX Works2之间以明文形式传输敏感信息。该漏洞可带来一系列潜在风险，成功利用该漏洞，攻击者可泄露信息、篡改信息、未授权执行操作或造成拒绝服务。

据悉，该漏洞是由浙江大学NESC课题组发现并报告给Mitsubishi Electric公司的。攻击者可远程利用该漏洞，且对该漏洞的利用无需高深的技术。

Mitsubishi Electric建议用户通过设置VPN对通信路径加密，来缓解该漏洞造成的影响。美国CISA也建议用户采取防御性措施，将该漏洞被利用的风险降到最低。具体如下：

Ø  对于所有控制系统设备和系统，最小化其网络暴露，并确保从互联网上无法访问这些设备和系统；

Ø  确定部署在防火墙后面的控制系统网络和远程设备的位置，并将它们与业务网络隔离；

Ø  当需要远程访问时，使用VPN等安全方法，同时意识到VPN可能也有漏洞，应保持更新最新的可用版本，还要明白只有被连接的设备是安全的，VPN也才安全。

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注创新互联行业资讯频道，感谢您对创新互联的支持。